2 pièce(s) jointe(s)
Les sites WordPress seraient piratés « dans les secondes qui suivent l'émission des certificats TLS »
Les sites WordPress seraient piratés « dans les secondes qui suivent l'émission des certificats TLS »,
les cybercriminels utilisent abusivement le protocole Certificate Transparency proposé par Google
Les attaquants utiliseraient abusivement le protocole Certificate Transparency (CT) pour pirater de nouveaux sites WordPress pendant la période généralement brève qui précède l'installation et la sécurisation du CMS. CT est une norme de sécurité web pour le contrôle et l'évaluation des certificats TLS, qui sont utilisés pour confirmer l'identité des sites web et sont fournis par les autorités de certification (CA).
Notons que WordPress est un système de gestion de contenu gratuit, libre et open source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Pour pouvoir fournir un trafic chiffré à ses utilisateurs, un propriétaire de site Web doit d'abord faire une demande de certificat auprès d'une autorité de certification de confiance. Ce certificat est ensuite présenté au navigateur afin d'authentifier le site auquel l'utilisateur tente d'accéder.
Au cours des dernières années, en raison de failles structurelles dans le système de certification HTTPS, les certificats et les autorités de certification émettrices se sont révélés vulnérables aux attaques et à la manipulation. Le projet de transparence des certificats proposé par Google a pour but de sauvegarder le processus d'émission des certificats, en fournissant un cadre ouvert pour le contrôle et l'audit des certificats HTTPS.
L'autorité de certification DigiCert a été la première à adopter cette norme en 2013, qui exige des autorités de certification qu'elles signalent instantanément tous les certificats fraîchement émis dans des journaux publics, dans un souci d'ouverture et de détection rapide des certificats véreux ou abusifs. Cependant, les preuves s'accumulent que de dangereux pirates observent ces journaux pour localiser de nouveaux domaines WordPress et configurer eux-mêmes le CMS après que les administrateurs web ont téléchargé les fichiers WordPress mais n'ont pas encore verrouillé le site avec un mot de passe.
Plusieurs témoignages ont fait état de sites piratés quelques minutes, voire quelques secondes, après la demande de certificats TLS. L'apparition d'un fichier malveillant (/wp-includes/.query.php) et des sites contraints de participer à des attaques DDoS ont été signalés par des propriétaires de domaines. Un développeur de Certbot a déclaré que les attaques « se produisaient depuis quelques années » sur un fil de discussion connexe sur le forum d'assistance de Let's Encrypt, une autorité de certification qui donne des certificats gratuits et a introduit son propre journal CT en 2019.
« L'astuce SSL est qu'en raison de la transparence automatisée des certificats, les domaines sont publiés dans un journal lors de l'activation, qui précède apparemment la fin de l'installation dans un certain nombre de cas, de sorte que les attaquants peuvent surveiller les journaux et bondir », déclare cet internaute qui se fait appélé matthieum. « Le véritable problème est bien sûr que l'installation doit être sécurisée avant d'être rendue publiquement accessible, et même mieux dès le départ », ajoute-il.
L'hypothèse de l'ingénieur sur les tactiques d'espionnage des attaquants est soutenue par Josh Aas, directeur exécutif de l'Internet Security Research Group, qui gère Let's Encrypt. « Si l'attaquant interroge directement les journaux de CT, il verra les nouvelles entrées de certificats plus rapidement, ce qui lui donnera une plus grande fenêtre de temps pour réaliser l'attaque », a déclaré Aas. L'analyse de crt.sh, un domaine de recherche de certificats, « peut également fonctionner, mais il faut plus de temps pour que les nouveaux certificats se propagent depuis CT ».
Les attaques ne sont pas imputées au système CT, qui, selon Let's Encrypt, a « conduit à de nombreuses améliorations de l'écosystème des autorités de certification et de la sécurité du Web » et « devient rapidement une infrastructure critique ». Toutes les autorités de certification de confiance publique, selon Aas, sont obligées d'envoyer les certificats aux journaux CT « sans délai après leur émission. » Il a indiqué que les propriétaires de domaines et les fournisseurs d'hébergement sont finalement responsables de la sécurisation des nouveaux sites WordPress.
« Obtenir un certificat de Let's Encrypt peut faciliter la détection d'une nouvelle installation, mais personne ne devrait mettre des installations WordPress sur l'internet public tant qu'elles ne sont pas sécurisées. Si un hébergeur ou toute autre entité fait cela, veuillez le signaler comme une vulnérabilité dans leur processus de déploiement. »
Selon Josepha Haden, directrice exécutive du projet WordPress d'Automattic, les cyberattaques « n'affectent que les installations directes, si un site est sur n'importe quel hébergeur recommandé, ou si le processus d'installation est automatisé, il y a généralement un fichier préconfiguré de sorte que le processus d'installation est complet ou ne soit pas interactif et il y a peu de chances pour cette attaque. »
White Fir Design, une entreprise de conception de sites Web basée dans le Colorado, a déclaré que WordPress pourrait résoudre le problème en fournissant au propriétaire du domaine « le contrôle du site Web dès le début, disons, en ajoutant un fichier [modèle]. » Christopher Cook, créateur de Let's Encrypt Windows UI Certify the Web, a suggéré sur le forum Let's Encrypt que WordPress « pourrait randomiser l'URL d'installation et ne la présenter qu'à vous dans la console, ou exiger un jeton à usage unique. »
« L'astuce SSL est qu'en raison de la transparence automatisée des certificats, les domaines sont publiés dans un journal lors de l'activation, qui précède apparemment la fin de l'installation dans un certain nombre de cas, de sorte que les attaquants peuvent surveiller les journaux et bondir », déclare cet internaute qui se fait appeler matthieum. « Le véritable problème est bien sûr que l'installation doit être sécurisée avant d'être rendue publiquement accessible, et même mieux dès le départ », ajoute-t-il.
Pour certains analystes, WordPress étant le CMS le plus utilisé, il est la plus grande victime des attaques de pirates informatiques. Utiliser Wordpress impliquerait d’appliquer plus de mesures pour protéger son site contre ces attaques courantes. Selon les statistiques de W3Techs, le CMS WordPress est désormais utilisé sur 39,5 % des sites web.
En fin d’année dernière, les chercheurs en sécurité de Wordfence, une société spécialisée dans l'ingénierie logicielle et la sécurité, ont révélé que des vulnérabilités dans OptinMonster, un plugin de marketing par courriel pour WordPress, ont exposé un million de sites à une prise de contrôle à distance. Les vulnérabilités permettent à un cybercrinel d'accéder à des informations sensibles et d'ajouter du code JavaScript malveillant aux sites WordPress.
OptinMonster est un plugin conçu pour aider les propriétaires de sites WordPress à générer des campagnes de marketing par courriel. L'équipe Wordfence Threat Intelligence aurait informé les développeurs de ce plugin de la faille le 28 septembre de l’année dernière et une version entièrement corrigée d'OptinMonster, la version 2.6.5, a été publiée le 7 octobre. Wordfence a publié un avis de sécurité détaillant ses conclusions.
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
:fleche: Quel CMS utilisez-vous ?
:fleche: Que pensez-vous de Wordpress ?
Voir aussi :
:fleche: Le CMS WordPress est désormais utilisé sur 39,5 % des sites web, seuls 38,4 % des sites Web n'utilisent pas un CMS, selon les statistiques de W3Techs
:fleche: L'administration Biden choisit de rester sur le CMS WordPress pour lancer le site de la Maison Blanche, l'administration Trump était passée de Drupal à WordPress
:fleche: La vulnérabilité d'un plugin WordPress a ouvert un million de sites à une prise de contrôle à distance, cette faille permet à toute personne non identifiée d'accéder aux informations sensibles
:fleche: Une campagne d'attaques massives cible 900 000 sites WordPress en une semaine, la redirection des visiteurs vers des sites malveillants et l'installation de portes dérobées PHP ont été découvertes
